Conversion Between (R)LWE

admin • 2024-01-30 20:40 • 5G

参考文献：

[MS18] Micciancio D, Sorrell J. Ring packing and amortized FHEW bootstrapping[J]. Cryptology ePrint Archive, 2018.
[BGGJ20] Boura C, Gama N, Georgieva M, et al. Chimera: Combining ring-lwe-based fully homomorphic encryption schemes[J]. Journal of Mathematical Cryptology, 2020, 14(1): 316-338.
[CDKS21] Chen H, Dai W, Kim M, et al. Efficient homomorphic conversion between (ring) LWE ciphertexts[C]//International Conference on Applied Cryptography and Network Security. Cham: Springer International Publishing, 2021: 460-479.
[LHH+21] Lu W, Huang Z, Hong C, et al. PEGASUS: bridging polynomial and non-polynomial evaluations in homomorphic encryption[C]//2021 IEEE Symposium on Security and Privacy (SP). IEEE, 2021: 1057-1073.

文章目录

Conversion Between RLWE

[MS18] 为了实现均摊 FHEW 自举，提出了 Ring packing 技术：将多个 LWE 密文（行矢）堆叠为

(

)

(A,b)

$(A, b)$ ，然后按列转化为多项式

(

)

(

)

a_j(x), b(x)

$a_{j} (x), b (x)$ ，使用 Key-Switch 执行同态线性解密

⋅

(

)

Acdot E(s)+b

$A \cdot E (s) + b$ （私钥被加密在多项式的常数项），最终获得打包了

(

)

∑

mu(x)=sum_j mu_jx^j

$μ (x) = \sum_{j} μ_{j} x^{j}$ 的单个 RLWE 密文。虽然它是 Coeff Packing 的，但是 [MS18] 中的同态 InvDFT 的目标是加速同态的多项式乘法（线性解密部分），而非 SIMD 打包并行。但是其中的 SwK 是对于 LWE 私钥的各个分量分别用 RLWE 加密的

′

(

⋅

)

RLWE_{s'}(s_i cdot g_j)

$R L W E_{s^{'}} (s_{i} \cdot g_{j})$ ，规模大、速度慢。计算过程中不需要用到同态旋转（主要的开销是秘钥切换），仅仅是对于

(

)

E(s)

$E (s)$ 的同态线性运算。

[BGGJ20] 提出的 Chimera 也使用类似的堆叠技术，将 TLWE 打包转换到 RLWE 密文上。不过它将堆叠出的矩阵

(

)

C=(A,b)

$C = (A, b)$ 直接乘以 InvDFT，于是

(

⋅

)

⋅

(

)

(InvDFT cdot C) cdot s=InvDFT(mu(x))

$(I n v D FT \cdot C) \cdot s = I n v D FT (μ (x))$ ，这就将各个

mu_j

$μ_{j}$ 编码到了明文槽。它的 SwK 也是各个私钥分量分别被加密在系数上

′

(

)

RGSW_{s'}(s_i)

$RGS W_{s^{'}} (s_{i})$ ，规模很大（GB 级别）

[CDKS21] 提出了新的 LWE 的 Key-Switch 技术（后文简记 KS），将 LWE 密文嵌入到 RLWE 密文上，对应的 SwK 将LWE 私钥作为单个多项式做 RLWE 加密

′

(

)

⋅

)

RLWE_{s'}(s(x) cdot g_j)

$R L W E_{s^{'}} (s (x) \cdot g_{j})$ ，从而极大的提高了 KS 的速度（两个数量级）。需要使用分圆域的自同构的某些特殊性质，消除一些杂项。推广这个 KS 过程，可以获得 LWE 打包到 RLWE 的过程，不过它也是 Coeff Packing 的（还应该使用 Coeff-to-Slot 过程将它们编码到明文槽）。令

$N$ 是 RLWE 的维度，打包

n=N

$n = N$ 个 LWE 密文，复杂度为

(

)

O(N)

$O (N)$ 次同态自同构，

(

)

O(N)

$O (N)$ 次同态数乘。

之后的 Pegasus 也使用密文堆叠技术，对于私钥

$s$ 的密文做线性变换，来实现 LWE-to-RLWE 过程。同态线性变换过程中，采取对角线乘法（旋转+阿达玛），LWE 私钥作为一个整体被加密在明文槽上

′

(

)

RLWE_{s'}(Ecd(s,Delta))

$R L W E_{s^{'}} (E c d (s, Δ))$ ，规模大大减小（MB 级别），同态解密的结果直接在明文槽上。令

$N$ 是 RLWE 的维度，打包

n=N

$n = N$ 个 LWE 密文，复杂度为

(

)

O(sqrt{N})

$O (N$

) 次同态旋转（由若干个自同构组成，完全分裂的二的幂分圆环只需要一个），

(

)

O(N)

$O (N)$ 次同态数乘。

Conversion Between RLWE

Tower of Cyclotomic

令

m=2^{L+1}

$m = 2^{L + 1}$ 是二的幂，

(

)

N=phi(m)=2^L

$N = ϕ (m) = 2^{L}$ 也是二的幂，分圆域

(

)

≅

[

]

(

)

K=mathbb Q(zeta_m) cong mathbb Q[X]/(X^N+1)

$K = Q (ζ_{m}) ≅ Q [X] / (X^{N} + 1)$ ，分圆整数环

[

]

≅

[

]

(

)

R=mathbb Z[zeta_m] cong mathbb Z[X]/(X^N+1)

$R = Z [ζ_{m}] ≅ Z [X] / (X^{N} + 1)$ ，为了区分不同维度我们记为

K_N,R_N

$K_{N}, R_{N}$

根据代数理论，域扩张

K/mathbb Q

$K / Q$ 都是 Galois 扩张，Galois 群

(

)

≅

∗

{

⋯

−

}

Gal(K/mathbb Q) cong mathbb Z_m^*={1,3,cdots,2N-1}

$G a l (K / Q) ≅ Z_{m *} = {1, 3, \dots, 2 N - 1}$ ，自同构：

→

∀

∈

∗

tau_d: zeta_m to zeta_m^d, forall dinmathbb Z_m^*

$τ_{d} : ζ_{m} \to ζ_{m d}, \forall d \in Z_{m *}$
域的迹：

∈

↦

∑

∈

(

)

(

)

∈

Tr_{K/mathbb Q}: a in K mapsto sum_{tau in Gal(K/mathbb Q)} tau(a) in mathbb Q

$T r_{K / Q} : a \in K \mapsto τ \in G a l (K / Q) \sum τ (a) \in Q$
根据代数知识，

Tr_{K/mathbb Q}

$T r_{K / Q}$ 是

mathbb Q

$Q$ -线性映射，并且满足

$Tr_{K/mathbb Q}(1)=[K:mathbb Q]=N TrK/Q(1)=[K:Q]=N$
$Tr_{K/mathbb Q}(X^i)=0, forall i neq 0 TrK/Q(Xi)=0,∀i=0$

对于分圆塔：

≥

⋯

≥

K=K_N ge K_{N/2} ge cdots ge K_1=mathbb Q

$K = K_{N} \geq K_{N /2} \geq \dots \geq K_{1} = Q$
其中

K_n,n=2^l

$K_{n}, n = 2^{l}$ 可以作为

K_N

$K_{N}$ 的子域（

≤

R_n le R_N

$R_{n} \leq R_{N}$ 类似），设置

Y=X^{N/n}

$Y = X^{N / n}$ ，

{

∑

∈

[

]

∈

}

⊆

K_n = left{sum_{i in [n]} a_i Y^i: a_i in mathbb Qright} subseteq K_N

$K_{n} = ⎩$

⎨

⎧i∈[n]∑aiYi:ai∈Q⎭

⎬

⎫⊆KN
基于分圆塔，可以将迹分解：

∘

⋯

∘

Tr_{K/mathbb Q} = Tr_{K_2/K_1} circ cdots circ T_{K_N/K_{N/2}}

$T r_{K / Q} = T r_{K_{2} / K_{1}} \circ \dots \circ T_{K_{N} / K_{N /2}}$
易知，相邻的域扩张的次数为

$2$ ，仅包含一个非凡自同构（另一个是恒等映射）：

(

−

)

{

∣

}

≤

Gal(K_{2^l}/K_{2^{l-1}}) = {tau_1|_{K_{2^l}},,, tau_{2^l+1}|_{K_{2^l}}},,, 1 le l le L

$G a l (K_{2^{l}} / K_{2^{l - 1}}) = {τ_{1} ∣_{K_{2^{l}}}, τ_{2^{l} + 1} ∣_{K_{2^{l}}}}, 1 \leq l \leq L$
其中的

∣

tau_{2^l+1}|_{K_{2^l}}

$τ_{2^{l} + 1} ∣_{K_{2^{l}}}$ 是自同构映射

∈

(

)

tau_{2^l+1} in Gal(K/mathbb Q)

$τ_{2^{l} + 1} \in G a l (K / Q)$ 限制在

⊆

K_{2^l} subseteq K_N

$K_{2^{l}} \subseteq K_{N}$ 上，容易验证它是

K_{2^l}

$K_{2^{l}}$ 的

−

K_{2^{l-1}}

$K_{2^{l - 1}}$ -自同构。进一步的，简记

n=2^l

$n = 2^{l}$ ，

Y=X^{N/n}

$Y = X^{N / n}$ 是

K_n/mathbb Q

$K_{n} / Q$ 的扩张元，那么有：

(

)

{

∀

∣

∀

∤

Tr_{K_{n}/K_{n/2}}(Y^i) = left{begin{aligned} 2Y^i, &&forall 2mid i\ 0, &&forall 2nmid i\ end{aligned}right.

$T r_{K_{n} / K_{n /2}} (Y^{i}) = {2 Y^{i}, 0, \forall2 ∣ i \forall2 ∤ i$
因此，映射

∈

↦

(

)

∈

mu in K_n mapsto Tr_{K_{n}/K_{n/2}}(mu) in K_{n/2}

$μ \in K_{n} \mapsto T r_{K_{n} / K_{n /2}} (μ) \in K_{n /2}$ ，记号

∥

a|b

$a ∥ b$ 表示 “恰好整除”，

将系数
将系数
元素 $K_n subseteq K_N μ∈Kn⊆KN 的其他系数本来就是零，保持$

我们定义

[

]

{

⋯

−

}

[N]={0,1,cdots,N-1}

$[N] = {0, 1, \dots, N - 1}$ 的一组划分（子域的系数索引），

{

∈

[

]

∥

}

≤

I_k := { i in [N]: 2^k|i },,, 0 le k< L

$I_{k} := {i \in [N] : 2^{k} ∥ i}, 0 \leq k < L$
特别地设置

{

}

I_L={0}

$I_{L} = {0}$ ，容易验证

[

]

⋃

[N] = bigcup_k I_k

$[N] = ⋃_{k} I_{k}$

对于

≤

d=2^l+1, 1le l le L

$d = 2^{l} + 1, 1 \leq l \leq L$ ，简记

∈

i=2^kj in I_k

$i = 2^{k} j \in I_{k}$ ，其中

$j$ 是奇数，

⋅

{

(

)

∈

∀

≤

(

)

∀

−

(

)

−

i cdot d = 2^{k+l}j + 2^kj = left{begin{array}{ll} 2^k(2^lj+j) in I_k &forall 0 le k le L\ 2^kj = i pmod{2N}, &forall k>L-l\ 2^L+2^kj = N+i pmod{2N}, &k=L-l\ end{array}right.

$i \cdot d = 2^{k + l} j + 2^{k} j = ⎩$

⎨

⎧2k(2lj+j)∈Ik2kj=i(mod2N),2L+2kj=N+i(mod2N),∀0≤k≤L∀k>L−lk=L−l
因此，

→

⋅

tau_d: zeta^i to zeta^{icdot d}

$τ_{d} : ζ^{i} \to ζ^{i \cdot d}$ 是对各个索引

I_k

$I_{k}$ 做了符号置换（signed permutation），

∀

∈

∃

∈

(

)

forall i in I_k,exist r in I_k,tau_d(X^i) = pm X^r

$\forall i \in I_{k}, \exists r \in I_{k}, τ_{d} (X^{i}) = \pm X^{r}$ 。特别地对于

≥

−

k ge L-l

$k \geq L - l$ 的那些

I_k

$I_{k}$ ，

(

)

{

∀

∈

⋃

−

∀

∈

−

tau_d(X^i) = left{begin{aligned} X^i, &&forall i in bigcup_{k>L-l}I_k\ -X^i, &&forall i in I_{L-l}\ ... &&otherwise end{aligned}right.

$τ_{d} (X^{i}) = ⎩$

⎨

⎧Xi,−Xi,...∀i∈k>L−l⋃Ik∀i∈IL−lotherwise
因此，映射

∈

↦

(

)

∈

mu in K_N mapsto mu+tau_d(mu) in K_N

$μ \in K_{N} \mapsto μ + τ_{d} (μ) \in K_{N}$ ，

将系数 $mu[i],2^{L-l+1}|i μ[i],2L−l+1∣i，加倍$
将系数 $I_{L-l} μ[i],i∈IL−l，清零$
其他系数的变化较为复杂

LWE-to-LWE

LWE 密文

(

)

∈

(b,a) in mathbb Z_q^{1+N}

$(b, a) \in Z_{q 1 + N}$ ，私钥

∈

s in mathbb Z^N

$s \in Z^{N}$ ，线性解密获得相位（不考虑纠错），

⟨

⟩

(

)

mu_0 = b+langle a,s rangle pmod q

$μ_{0} = b + ⟨ a, s ⟩ (mod q)$
执行 KS 时，抽象思路是

{

′

(

)

}

K={LWE_{s'}(s_i)}

$K = {L W E_{s^{'}} (s_{i})}$ ，然后同态解密获得

′

(

)

LWE_{s'}(mu_0)

$L W E_{s^{'}} (μ_{0})$ ，但是这么做的复杂度太高了。[CDKS21] 提出了一种新的 KS 过程：

将 $R_{N,q} a(x)=ι(a)∈RN,q，其中的映射 ι : Z N → R N iota: mathbb Z^N to R_N ι:ZN→RN 是将向量作为多项式系数$
将 $tau_{-1} circ iota(s) in R_N s(x)=τ−1∘ι(s)∈RN，其中的 τ − 1 tau_{-1} τ−1 是因为多项式乘积是向量反卷积$

那么，获得的

(

)

∈

(b,a(x)) in R_{N,q}^2

$(b, a (x)) \in R_{N, q 2}$ 可以视为

(

)

s(x)

$s (x)$ 加密的 RLWE 密文，容易验证

(

)

(

)

(

)

∈

mu(x) = b+a(x)s(x) in R_{N,q}

$μ (x) = b + a (x) s (x) \in R_{N, q}$ ，它的常数项

μ

[

0

]

mu[0]

$μ [0]$ 恰好就是

μ

0

mu_0

$μ_{0}$ 了。

因此我们可以使用

{

′

(

)

⋅

)

}

K={RLWE_{s'}(s(x) cdot g_i)}

$K = {R L W E_{s^{'}} (s (x) \cdot g_{i})}$ 作为 SwK，执行 RLWE 的秘钥切换，最后提取出常数项对应的 LWE 密文。其中的

(

⋯

)

g=(g_1,cdots,g_d)

$g = (g_{1}, \dots, g_{d})$ 是 Gadget Vector，可使用 [BGV12] 的 Base decomposition 或者 [BEHZ16] 的 Prime decomposition（用于兼容 RNS 系统）。

具体算法为：

LWE Key-Switch 的噪声为

⟨

−

(

)

⟩

e_{ks} = langle g^{-1}(c_1), e rangle

$e_{k s} = ⟨ g^{- 1} (c_{1}), e ⟩$ ，其中

←

e gets chi_sigma

$e \leftarrow χ_{σ}$ 是 SwK 的噪声。为了兼容 RNS 系统，我们使用素数分解

−

↦

{

[

]

∈

}

g^{-1}: a mapsto {[a]_{q_i} in R_{N,q_i}}

$g^{- 1} : a \mapsto {[a]_{q_{i}} \in R_{N, q_{i}}}$ ，那么可以计算出

e_{ks}

$e_{k s}$ 各个系数的方差

≤

⋅

∑

V_{ks} le frac{1}{12}Nsigma^2 cdot sum_i q_i^2

$V_{k s} \leq \frac{1}{12} N σ^{2} \cdot i \sum q_{i 2}$
易知 LWE-to-LWE 的噪声就是 Key-Switch 的噪声。

LWE-to-RLWE

上述的 LWE-to-LWE 过程中，产生的

′

ct'

$c t^{'}$ 并非是有效 RLWE 密文（相位只有常数项是有意义的，其他位置都是无效数据）。[CDKS21] 使用迹

Tr_{K/mathbb Q}

$T r_{K / Q}$ 来消除

≠

X^i,i neq 0

$X^{i}, i \neq = 0$ 的系数，只保留常数项（缩放因子

$N$ ）。

直接计算

Tr_{K/mathbb Q}

$T r_{K / Q}$ 需要分别计算各个

∈

∗

tau_d, din mathbb Z_m^*

$τ_{d}, d \in Z_{m *}$ ，共计需要

$N$ 个自同构映射（每一次都需要做 KS 过程）。因此，借助分圆塔将

T

r

K

/

Q

Tr_{K/mathbb Q}

$T r_{K / Q}$ 分解，成为

log

⁡

L=log N

$L = lo g N$ 个相邻分圆域的迹

−

Tr_{K_{2^l}/K_{2^{l-1}}}

$T r_{K_{2^{l}} / K_{2^{l - 1}}}$ 的组合，这样就只需要计算

log

⁡

log N

$lo g N$ 个非凡自同构。

具体算法为：

为了消除

$N$ 缩放因子，可以预先对输入的 LWE 密文缩放

[

−

]

[N^{-1}]_q

$[N^{- 1}]_{q}$ 因子，从而上述算法的输出自然地消除了它们。

因为自同构

tau_d

$τ_{d}$ 是保长的，因此不会导致噪声过度膨胀。同态迹的噪声是

≤

(

)

−

)

⋅

Var le frac{1}{3}((frac{N}{n})^2-1) cdot V_{ks}

$Va r \leq \frac{1}{3} ((\frac{N}{n})^{2} - 1) \cdot V_{k s}$
选取

n=1

$n = 1$ ，LWE-to-RLWE 的噪声就是

≤

(

−

)

⋅

Var le frac{1}{3}(N^2-1) cdot V_{ks}

$Va r \leq \frac{1}{3} (N^{2} - 1) \cdot V_{k s}$

LWEs-to-RLWE

假如我们希望将相位是

∈

[

]

mu_j, j in [n]

$μ_{j}, j \in [n]$ 的多个 LWE 密文打包到单个 RLWE 密文中：直接使用上述的转换得到

ct_j

$c t_{j}$ ，然后计算

′

∑

∈

[

]

⋅

ct' = sum_{j in [n]} ct_j cdot Y^j, Y=X^{N/n}

$c t^{'} = \sum_{j \in [n]} c t_{j} \cdot Y^{j}, Y = X^{N / n}$ ，那么它的相位就是：

′

⋅

∑

∈

[

]

∈

⊆

mu' = N cdot sum_{j in [n]} mu_j Y^j in R_n subseteq R_N

$μ^{'} = N \cdot j \in [n] \sum μ_{j} Y^{j} \in R_{n} \subseteq R_{N}$
然而上述算法的计算效率和噪声增长都不算好。[CDKS21] 提出了 FFT-style 递归算法：假设

n=2^l

$n = 2^{l}$ ，为了计算

′

mu'

$μ^{'}$ ，可以将

mu_j

$μ_{j}$ 分为大小

−

2^{l-1}

$2^{l - 1}$ 的两组，分别计算出

′

⋅

∑

∈

[

]

∈

′

⋅

∑

∈

[

]

∈

begin{aligned} mu_{even}' &= N/2 cdot sum_{j in [n/2]} mu_{2j} Y^{2j} in R_{n/2}\ mu_{odd}' &= N/2 cdot sum_{j in [n/2]} mu_{2j+1} Y^{2j} in R_{n/2}\ end{aligned}

$μ_{e v e n'} μ_{o dd'} = N /2 \cdot j \in [n /2] \sum μ_{2 j} Y^{2 j} \in R_{n /2} = N /2 \cdot j \in [n /2] \sum μ_{2 j + 1} Y^{2 j} \in R_{n /2}$
但是实际上我们只需要计算出

∈

mu_{even},mu_{odd} in R_N

$μ_{e v e n}, μ_{o dd} \in R_{N}$ ，使得它们的

Y^{2j}

$Y^{2 j}$ 系数组成了

′

∈

mu_{even}',mu_{odd}' in R_{n/2}

$μ_{e v e n'}, μ_{o dd'} \in R_{n /2}$ ，然后将

mu_{odd}

$μ_{o dd}$ 旋转

$Y$ 加到

mu_{even}

$μ_{e v e n}$ 上，并使用自同构

τ

d

,

d

=

2

l

+

1

tau_{d}, d=2^l+1

$τ_{d}, d = 2^{l} + 1$ 来消除

μ

o

d

d

mu_{odd}

$μ_{o dd}$ 那些恰好被旋转到

μ

e

v

e

n

′

mu_{even}'

$μ_{e v e n'}$ 位置上的杂项：

(

⋅

)

(

−

⋅

)

mu = (mu_{even} + Y cdot mu_{odd}) + tau_d(mu_{even} - Y cdot mu_{odd})

$μ = (μ_{e v e n} + Y \cdot μ_{o dd}) + τ_{d} (μ_{e v e n} - Y \cdot μ_{o dd})$
由于

−

⋅

-Y cdot mu_{odd}

$- Y \cdot μ_{o dd}$ 的有效系数

−

-mu_{2j+1}

$- μ_{2 j + 1}$ 是在

Y^{2j+1}

$Y^{2 j + 1}$ 上，因此

tau_d

$τ_{d}$ 将它们取反为

mu_{2j+1}

$μ_{2 j + 1}$ ，而那些被旋转到

Y^{2j}

$Y^{2 j}$ 的杂项

−

-e

$- e$ 则保持不变，正好和

⋅

Y cdot mu_{odd}

$Y \cdot μ_{o dd}$ 添加到

mu_{even}

$μ_{e v e n}$ 上的杂项

$e$ 相互消除。最终，相位

∈

mu in R_N

$μ \in R_{N}$ 的那些

Y^j

$Y^{j}$ 的系数恰好是

⋅

N cdot mu_j

$N \cdot μ_{j}$ ，只要再消除其他的杂项就可以得到

′

∈

mu' in R_n

$μ^{'} \in R_{n}$ ，这里可以使用

Tr_{K_N/K_n}

$T r_{K_{N} / K_{n}}$ 来消除它们。

具体算法为：

这个算法 Step 2 需要

−

n-1

$n - 1$ 次自同构，step 3 需要

log

⁡

(

)

log(N/n)

$lo g (N / n)$ 次自同构，均摊成本为

log

⁡

(

)

−

frac{n+log(N/n)-1}{n}

$\frac{n + l o g ( N / n ) - 1}{n}$ ，只要打包的 LWEs 够多

(

log

⁡

)

n=Omega(log N)

$n = Ω (lo g N)$ ，均摊成本仅为

(

)

O(1)

$O (1)$ （但是打包

≥

n ge 2^{10}

$n \geq 2^{10}$ 个 LWEs 的延迟应该挺高了？）

注意到

mu_j

$μ_{j}$ 是打包在系数上的，一般 FHE 可能需要使得消息是打包在明文槽里的，这可以使用 [GHS12] [HS15] [HHC19] 的 Coeff-to-Slot 技术进行转换。[CDKS21] 说这些转换的速度特别快（真的么？秒的量级吧，不算快），因此主要开销还是在 LWEs-to-RLWE 上面。

可以证明 LWEs-to-RLWE 的噪声也是

≤

(

−

)

⋅

Var le frac{1}{3}(N^2-1) cdot V_{ks}

$Va r \leq \frac{1}{3} (N^{2} - 1) \cdot V_{k s}$

Lightweight Communication

三种转换的效率和噪声：

优势：

原始的 KS 过程，对于前两个参数，执行时间为
噪声仅为 $Z_q b∈Zq 的大部分空间都可用于存储消息（例如 389 − 23 389-23 389−23 比特）$

对于云计算场景，我们使用对称版本的 LWE 加密方案，那么多个密文的

∈

a_j in mathbb Z_q^N

$a_{j} \in Z_{q N}$ 完全可以被替代为随机种子，

(

)

a_j=PRF(seed,j)

$a_{j} = PRF (see d, j)$ ，这导致了 Rate 高达

−

(

)

1-o(1)

$1 - o (1)$ 的对称加密。在同态运算之前，需要同态解密，因为 LWE-based 是 FHE 友好的（只需要部分的同态解密，不必纠错），直接使用上述的 LWEs-to-RLWE 就可以转化为合适的 FHE 密文（这三种转换都是保护相位的，通用于任意的 FHE 方案）

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。

THE END

人工智能信息安全密码学数学

二维码

Mac OS安装配置MySQL 8.0.31教程

< <上一篇

Web3技术革新：重新定义在线体验

下一篇>>

搜索内容

Conversion Between (R)LWE

文章目录

Conversion Between RLWE

Tower of Cyclotomic

LWE-to-LWE

LWE-to-RLWE

LWEs-to-RLWE

Lightweight Communication

最新文章

分类

标签云